ニュース
7pay、9月30日で廃止。「継続は難しい」と未使用分は返金
2019年8月1日 15:02
セブン&アイ独自のコード決済サービス「7pay(セブンペイ)」が9月30日24時を持って終了する。7月1日にスタートしたばかりだが、不正アクセス問題の発覚を受け、システムの見直しを続けてきたものの、「サービス提供の継続は困難」と判断した。
なお、サービス終了時点で未使用のチャージ残高については、「法令上の手続きを経た後に、順次払い戻しする」としており、払い戻しの詳細は後日案内する。払い戻し時期は、10月1日から2020年1月10日を予定している。
不正アクセス発覚後、同社は「セキュリティ対策プロジェクト」を立ち上げ、被害状況の把握と発生原因の調査、今後の対応などの検討を進めてきたが、「7payのチャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定される」という。
その間、サービス継続しても「利用(支払)のみ」という不完全な形となり、また利用者の不安なども払拭できない。そのため7payのサービス継続は困難という結論に至り、セブン&アイホールディングスの取締役会で、7payのサービス「廃止」を決定した。
終了日が9月30日となったのは、「告知期間をっしっかり確保した上で廃止するため」。
7月1日にスタートした7payだが、不正アクセスと不正利用などを受けて、3日にクレジットカードとデビットカードからのチャージを停止。さらに4日はレジでの現金チャージなど全てのチャージを停止、新規登録も停止した。7月31日17時現在の被害は808人、3,861万5,473円。被害額については、「不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償」としている。
不正利用による被害には、8月19日より順次補償について個別に案内する。
- 7月1日:サービス開始(セブン‐イレブンアプリ上に搭載)
- 7月2日:利用者から「身に覚えのない取引があった」旨の連絡
- 7月3日:各社ホームページへ「重要なお知らせ」を掲載。海外IPからのアクセスを遮断、クレジット/デビットカードからのチャージ停止
- 7月4日:店舗レジ/セブン銀行ATMからの現金チャージ停止、新規会員登録を停止
- 7月5日:「セキュリティ対策プロジェクト」の設置
- 7月6日:モニタリング体制の強化
- 7月11日:外部IDによるログイン停止
- 7月30日:7iDのパスワードリセットの実施
- 8月1日:サービス廃止を決定
- 9月30日:サービス廃止(予定)
7payのサービスに関わる経緯
不正アクセスの原因は、不正入手したID・パスワードのリストを用い、7payの利用者になりすまして不正アクセスを試みる「リスト型アカウントハッキングの可能性が高い」としている。
セキュリティ対策プロジェクトの調査では、「現時点で、外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセット等の機能が、不正アクセスの直接の原因となった事例は見つかっておらず、内部からの流出についても、明確な流出の痕跡は確認できない」としている。
なお、7payは廃止するが「引き続き新たなキャッシュレスサービスへの取り組みを検討しながら、グループ外部の様々な決済サービスとの連携を進めていく」しており、新たな決済サービスの検討にも含みをもたせた。
開発体制やシステムの最適化が不十分。新たなサービスも検討
8月1日15時から7payサービス廃止についての記者会見を開催。セブン&アイホールディングスの後藤克弘 代表取締役 副社長が、7payサービス廃止までの経緯や被害状況、対応について説明した。
原因については、「リスト型アカウントハッキングが可能性が高い」とする一方で、こうした犯行を防げなかった理由として、「7payに関わるシステム上の認証レベル」、「7payの開発体制」、「7payにおけるシステムリスク管理体制」に課題があったと言及。
システム上の認証レベルについては、「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなく、防御力を弱めたとする。
開発体制については、「グループ各社が参加していたが、システム全体の最適化が十分に検証できなかった」と説明。「金融のチームとアプリ開発のチームのそれぞれが最適とする開発をしていたが、それを束ねる体制ができていなかった」(セブン&アイ・ホールディングス 執行役員 デジタル戦略推進本部 デジタル戦略部 シニアオフィサー 清水健氏)とした。
システムリスク管理体制は、「相互検証、相互牽制の仕組みが十分に機能していなかった」として、組織や意思決定などのガバナンスの問題について検証が必要とした。
今後の安全確保においては、セキュリティ戦略本部の調査では、「グループ共通iDの7iDの個人情報には、明確な漏洩の痕跡は認められない」とし、7月30日に実施したパスワードの一斉リセットを持って、「リスクを極小化できる」と説明。また、グループ横断の情報セキュリティ統括管理組織を設置し、セキュリティ水準の向上を図る。
7payは廃止されるが、「キャッシュレス化への社会的ニーズはきわめて高く、さらに重要性を増していく。グループとしては新たなキャッシュレスサービスの可能性を検討しながら、他のサービスとの提携を進める」と言及。「もう一度参画できるか、チャレンジしたい。ただし、いつ、どのようになどは白紙」とした。
(決済がなければ)十分なセキュリティ。デジタル推進は変えない
質疑応答では、「リスト型アカウントハッキングの可能性が高い」との不正アクセス分析についての質問が多数行なわれた。
パスワードを使いまわしておらず、独自に設定したクレジットカード チャージ用のパスワードを突破された事例も報告されているため、「リスト型だけではないでは?」との質問だが、「何千万回というログインの試行がなされ、被害が確認された方の調査などからも判断している」とした。報告されている被害件数は808件だが、ログイン件数は「それ以上。数は精査中」としている。
7月4日の会見では「社外の脆弱性テストでも問題なかった」と回答していたが、その後に社内外の検証で脆弱性が認められたという、「テストの範囲と深さを変えた。それ以上話せないのだが、結果的に適切ではなかった(セブン&アイ 清水氏)」と説明した。
「抜本対策に時間がかかる」との終了理由については、「(対策に)13カ月ぐらいの開発期間が必要とすると、その間チャージができないという状態で、ご迷惑をおかけすることになる。それは流石に申し訳ない」(セブン&アイネットメディア 田口 広人社長)とし、7payの終了に理解を求めた。
7iDについては、「どのようなサービスを展開するかで、必要となるセキュリティレベルは変わる。他の競合サービスと並べ、我々のサービスを分析した。現状のサービス内容として、7iDは安全であるという結論」と説明。決済サービスがなければ、十分なセキュリティであるとの認識を示した。
なお、被害の地域に目立った傾向はなく、全国で発生。ただし、「集中的に被害が出た店舗はあった」という。
セブン&アイグループのデジタル推進の一つの柱としていた7payの終了による、グループ戦略への影響は、「デジタル戦略の推進は変えるつもりはない」(後藤副社長)と強調。「6,000万以上発行しているnanacoもクレジットカードもあり、決済について十分な情報はある。さらにデジタルに近く、金融を取り込むための7payだったが、廃止になった。ただし、この領域の可能性はあるので今後しっかり検討していく」と語った。
7payのスタートにあわせて、カード型のnanacoのポイント還元率を半減した。還元率を戻すかどうかなども「今後検討していく」とした。
10月1日から開始される経済産業省による「キャッシュレス・消費者還元事業」については、7payで申請していたが、辞退することになる。ただし、銀行やカード、店舗での登録申請はしている。その点は、7pay廃止でも特段影響はない」とした。
なお、7payサービス運営のセブン・ペイは、会社としては存続。決済サービスのゲートウェイ機能を担っていく。
コンビニ・流通大手によるコード決済サービスが、わずか3カ月で終了することとなる。